ISO 27002:2022 Kontrolle 5.33 – Best Practices zum Schutz von Aufzeichnungen
Aufzeichnungen sind ein unklares Konzept, das manche Unternehmen aus Compliance-Gründen nur schwer klassifizieren und verwalten können.
Aufzeichnungen im Sinne der IKT sind ein anderer Begriff für die Daten und Informationen, die eine Organisation speichert und/oder zur Durchführung ihrer täglichen Geschäftsaktivitäten verwendet, einschließlich (aber nicht beschränkt auf):
- Individuelle Veranstaltungen
- Transaktionen
- Arbeits prozess
- Aktivitäten
- Funktionen
ISO definiert Aufzeichnungen im Rahmen ihrer Standards als „jede Menge von Informationen, unabhängig von ihrer Struktur oder Form“, einschließlich „einem Dokument, einer Sammlung von Daten oder anderen Arten von Informationen, die im Geschäftsverlauf erstellt, erfasst und verwaltet werden“. “, einschließlich der Metadaten eines Datensatzes.
Zweck der Kontrolle 5.33
Jede Organisation ist verpflichtet, sicherzustellen, dass die von ihr gespeicherten Daten – einschließlich, aber nicht beschränkt auf Personen- und Finanzdaten – geschützt sind Informationen oder Einsatzgebiete – werden sicher und geschützt aufbewahrtund die internen Verfahren entsprechen weiterhin allen geltenden Anforderungen.
Control 5.33 befasst sich mit dem Schutz von Geschäftsunterlagen vor fünf wichtigen Ereignissen:
- Verlust
- Zerstörung
- Fälschung
- Unbefugter Zugriff
- Unbefugte Veröffentlichung oder Veröffentlichung
Attributtabelle
Kontrolle 5.33 ist ein vorbeugende Kontrolle zur Abwicklung, Integrierung, Speicherung und hält das Risiko aufrecht durch die Erstellung von Richtlinien und Verfahren – einschließlich Aufbewahrungsplänen –, die die gesetzlichen, satzungsmäßigen, behördlichen und vertraglichen Anforderungen einer Organisation in Bezug auf erfüllen Sicherheit und Verfügbarkeit aller Aufzeichnungen, die es besitzt.
| Steuerungstyp | Eigenschaften der Informationssicherheit | Cybersicherheitskonzepte | Operative Fähigkeiten | Sicherheitsdomänen |
|---|---|---|---|---|
| #Präventiv | #Vertraulichkeit | #Identifizieren | #Recht und Compliance | #Verteidigung |
| #Integrität | #Schützen | #Vermögensverwaltung | ||
| #Verfügbarkeit | #Informationsschutz |
Verschaffen Sie sich einen Vorsprung von 81 %
Wir haben die harte Arbeit für Sie erledigt und Ihnen ab dem Moment Ihrer Anmeldung einen Vorsprung von 81 % verschafft.
Sie müssen lediglich die Lücken ausfüllen.
Allgemeine Leitlinien zur Kontrolle 5.33
Kontrolle 5.33 erkennt an, dass ein Die Bedürfnisse der Organisation sind fließend wenn es um die Menge und Art der Aufzeichnungen geht, die erforderlich sind, um von einem Tag auf den anderen Geschäfte abzuwickeln.
Daher kategorisiert Control 5.33 die Datensatzverwaltung in vier Hauptattribute:
- Authentizität
- Zuverlässigkeit
- Integrität
- Benutzerfreundlichkeit
Im Rahmen dieser Attribute fordert Control 5.33 Organisationen dazu auf:
- Entwerfen und veröffentlichen Sie Richtlinien, die sich mit vier Hauptfunktionen befassen, sowie themenspezifische Richtlinien, die auf die zugrunde liegende Natur der betreffenden Datensätze eingehen:
a) Plattenspeicher
b) Datenverarbeitungskette
c) Entsorgung von Schallplatten
d) Manipulationen verhindern - Führen Sie einen Aufbewahrungsplan für funktionale Aufzeichnungen ein, der klar umreißt, wie lange Aufzeichnungen unterschiedlicher Art in Bezug auf ihre individuelle Geschäftsfunktion aufbewahrt werden sollten.
- Erstellen Sie Lager- und Handhabungsverfahren, die Folgendes berücksichtigen:
a) alle geltenden Gesetze, die sich mit der Führung von Geschäftsunterlagen befassen
b) „Gemeinschafts- und gesellschaftliche“ Erwartungen an den Umgang einer Organisation mit ihren Aufzeichnungen - Implementieren Sie Verfahren, die Aufzeichnungen auf sichere und angemessene Weise vernichten, sobald sie nicht mehr benötigt werden (nach Ablauf der Aufbewahrungsfrist).
- Klassifizieren Sie Datensätze zum Schutz (einschließlich angemessener Aufbewahrungsfristen und verwendeter Speichermedien) basierend auf ihr Sicherheitsrisikound verschiedene Arten, einschließlich (aber nicht beschränkt auf):
a) Buchführung
b) Geschäftliche Transaktionen
c) Persönliche Rekorde
d) Rechtsakten - Stellen Sie sicher, dass alle Speicherverfahren einen akzeptablen Zeitrahmen für den Abruf vorsehen, falls die Organisation gebeten wird, sie von Dritten oder für den internen Gebrauch bereitzustellen.
- Wenn elektronische Medien zum Speichern von Aufzeichnungen verwendet werden, sollten Sie die Möglichkeit in Betracht ziehen und mindern, dass der Zugriff auf oder das Abrufen von Aufzeichnungen durch technische Änderungen, einschließlich der Aufbewahrung kryptografischer Informationen, behindert wird (siehe Kontrolle 8.24).
- Halten Sie sich bei der Speicherung oder Handhabung von Aufzeichnungen auf oder über elektronische Medien an die Richtlinien des Herstellers, einschließlich angemessener Berücksichtigung der natürlichen Verschlechterung dieser Medien.
Compliance muss nicht kompliziert sein.
Wir haben die harte Arbeit für Sie erledigt und Ihnen ab dem Moment Ihrer Anmeldung einen Vorsprung von 81 % verschafft.
Sie müssen lediglich die Lücken ausfüllen.
Änderungen und Unterschiede zu ISO 27002:2013
27002:2022-5.33 ersetzt 27002:2013-18.1.3 (Schutz von Aufzeichnungen) mit diversen Ergänzungen in Form einzelner Leitlinien und allgemeiner Prozesse, die eingehalten werden müssen.
In der Kontrolle 2022 erkennt die ISO an, wie wichtig es ist, zu definieren, was eine Geschäftsaufzeichnung darstellt. 27002:2022-5.33 enthält zahlreiche Beispiele dafür, was ISO unter einem Datensatz versteht (siehe oben), die in 27002:2013-18.1.3 fehlen.
Control 5.33 lenkt die Aufmerksamkeit einer Organisation auch auf zwei Hauptleitpunkte, die nicht in ihrem Gegenstück aus dem Jahr 2013 enthalten sind (Richtlinien 1 und 2 oben), die wiederum die Grundlage der Aufzeichnungsrichtlinie einer Organisation bilden – insbesondere einen Aufbewahrungsplan, der vorschreibt, wie Es sollten lange Aufzeichnungen über alle medienspezifischen Anforderungen aufbewahrt werden.
Auch im Records Management halten Metadaten erstmals Einzug. 27002:2013-18.1.3 enthält keine Erwähnung davon, während 27002:2022-5.33 es als „wesentlichen Bestandteil“ betrachtet.
Neue ISO 27002-Kontrollen
Neue Steuerelemente
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 5.7 | NEU | Bedrohungsinformationen |
| 5.23 | NEU | Informationssicherheit bei der Nutzung von Cloud-Diensten |
| 5.30 | NEU | IKT-Bereitschaft für Geschäftskontinuität |
| 7.4 | NEU | Physische Sicherheitsüberwachung |
| 8.9 | NEU | Konfigurationsmanagement |
| 8.10 | NEU | Löschung von Informationen |
| 8.11 | NEU | Datenmaskierung |
| 8.12 | NEU | Verhinderung von Datenlecks |
| 8.16 | NEU | Überwachungsaktivitäten |
| 8.23 | NEU | Web-Filter |
| 8.28 | NEU | Sichere Codierung |
Organisatorische Kontrollen
Menschenkontrollen
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 6.1 | 07.1.1 | Schirmungsmaß |
| 6.2 | 07.1.2 | Beschäftigungsbedingungen |
| 6.3 | 07.2.2 | Bewusstsein für Informationssicherheit, Aus- und Weiterbildung |
| 6.4 | 07.2.3 | Disziplinarverfahren |
| 6.5 | 07.3.1 | Verantwortlichkeiten nach Beendigung oder Wechsel des Arbeitsverhältnisses |
| 6.6 | 13.2.4 | Vertraulichkeits- oder Geheimhaltungsvereinbarungen |
| 6.7 | 06.2.2 | Fernarbeit |
| 6.8 | 16.1.2, 16.1.3 | Berichterstattung über Informationssicherheitsereignisse |
Physikalische Kontrollen
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 7.1 | 11.1.1 | Physische Sicherheitsbereiche |
| 7.2 | 11.1.2, 11.1.6 | Physischer Eintritt |
| 7.3 | 11.1.3 | Absicherung von Büros, Räumen und Anlagen |
| 7.4 | NEU | Physische Sicherheitsüberwachung |
| 7.5 | 11.1.4 | Schutz vor physischen und umweltbedingten Bedrohungen |
| 7.6 | 11.1.5 | Arbeiten in sicheren Bereichen |
| 7.7 | 11.2.9 | Klarer Schreibtisch und klarer Bildschirm |
| 7.8 | 11.2.1 | Standort und Schutz der Ausrüstung |
| 7.9 | 11.2.6 | Sicherheit von Vermögenswerten außerhalb des Betriebsgeländes |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Speichermedium |
| 7.11 | 11.2.2 | Unterstützende Versorgungsunternehmen |
| 7.12 | 11.2.3 | Verkabelungssicherheit |
| 7.13 | 11.2.4 | Wartung der Ausrüstung |
| 7.14 | 11.2.7 | Sichere Entsorgung oder Wiederverwendung von Geräten |
Technologische Kontrollen
Wie ISMS.online hilft
Nutzung von ISMS.online kannst Du:
- Implementieren Sie schnell eine Informationssicherheits-Managementsystem (ISMS).
- Pflege- Verwalten Sie die Dokumentation Ihres ISMS.
- Optimieren Sie die Einhaltung aller relevanten Standards.
- Verwalten Sie alle Aspekte der Informationssicherheit, vom Risikomanagement bis zum Sicherheitsbewusstseinstraining.
- Kommunizieren Sie effektiv in Ihrem gesamten Unternehmen mit unserer integrierten Kommunikationsfunktion.
Nehmen Sie noch heute Kontakt mit uns auf Demo buchen.
Zum Thema springen
Lassen Sie sich bis zu 5 x schneller zertifizieren
Füllen Sie einfach die Lücken aus.
Beratung buchen Angebotsanfrage
